Bonjour, Trois nouvelles annonces de sécurité ont été publiées. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Thomas Klute a découvert que dans mod-gnutls, un module Apache fournissant un chiffrement SSL et TLS avec GnuTLS, un bogue empêchait le mode de vérification du client à ne pas être considéré par le serveur, dans le cas où la configuration du répertoire n'était pas réglée. Les clients ayant des certificats invalides étaient alors capables d'utiliser ce défaut pour obtenir l'accès à ce répertoire.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.5.10-1.1+deb7u1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.6-1.3.</p> <p>Nous vous recommandons de mettre à jour vos paquets mod-gnutls.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3177.data" # $Id: dsa-3177.wml,v 1.1 2015/03/11 22:27:52 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans la solution de virtualisation Xen :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2044";>CVE-2015-2044</a> <p>Fuite d'information grâce à l'émulation de périphérique système x86.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2045";>CVE-2015-2045</a> <p>Fuite d'information dans l'hypercall HYPERVISOR_xen_version().</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2151";>CVE-2015-2151</a> <p>Une absence de vérification des entrées dans l'émulateur x86 pourrait résulter en la divulgation d'informations, un déni de service ou éventuellement une augmentation de droits.</p></li> </ul> <p>De plus, les développeurs Xen ont signalé une limitation non corrigeable dans le traitement de périphériques PCI non-standard. Veuillez consulter <url "http://xenbits.xen.org/xsa/advisory-124.html"; /> pour de plus amples informations.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.1.4-3+deb7u5.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3181.data" # $Id: dsa-3181.wml,v 1.1 2015/03/11 22:27:52 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Mariusz Ziulek a signalé que libssh2, une bibliothèque SSH2 côté client, lisait et utilisait le paquet SSH_MSG_KEXINIT sans effectuer suffisamment de vérifications de range lors de la négociation d'une nouvelle session SSH avec un serveur distant. Un attaquant malveillant pourrait réaliser une attaque de type « homme du milieu » sur un serveur réel et forcer un client à utiliser la bibliothèque libssh2 pour planter (déni de service) ou lire et utiliser des zones de la mémoire non prévues dans ce processus.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.2-1.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libssh2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3182.data" # $Id: dsa-3182.wml,v 1.1 2015/03/11 22:27:52 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature